安全管理制度体系

1、AAAAA公司信息安全管理制度体系 AAAAA公司版权所有AAAAAA公司司安全管理理制度（v1.0）文档编制制单位：AAAAAA文档编制制时间：文档总页页数：页页文档编制制：文档审核核人：审核时间间：注：替换换：AAAAAAA为公司司名称，DDDDDD为为公司简简称，BBBBBBB为系系统名称称，XXXXXXX为信息息安全管管理的部部门（如如“XXXXXX”）。信息安全全管理机机构制度度版本记记录版本记录录版本修改日期期修改摘要要修改人审批人审批日期期1.0目录TOC o 1-3 h u HYPERLINK l _Toc428792502 第一章 信息安安全管理理制度总总则 PAGEREF

2、_Toc428792502 h 8 HYPERLINK l _Toc428792503 1.1 概述 PAGEREF _Toc428792503 h 88 HYPERLINK l _Toc428792504 1.2 总体原原则 PAGEREF _Toc428792504 h 8 HYPERLINK l _Toc428792505 1.3 总体目目标 PAGEREF _Toc428792505 h 8 HYPERLINK l _Toc428792506 1.4 总体框框架 PAGEREF _Toc428792506 h 9 HYPERLINK l _Toc428792507 1.4.1 系系统信

3、息息运维安安全策略略 PAGEREF _Toc428792507 h 9 HYPERLINK l _Toc428792508 1.4.2 信信息系统统安全管管理安全全策略 PAGEREF _Toc428792508 h 110 HYPERLINK l _Toc428792509 1.5 适用范范围 PAGEREF _Toc428792509 h 111 HYPERLINK l _Toc428792510 第二章 AAAAAA公公司XXXXXXX信息安安全管理理体系文文件 PAGEREF _Toc428792510 h 122 HYPERLINK l _Toc428792511 2.1 目的 P

4、AGEREF _Toc428792511 h 112 HYPERLINK l _Toc428792512 2.2 范围 PAGEREF _Toc428792512 h 112 HYPERLINK l _Toc428792513 2.3 职责 PAGEREF _Toc428792513 h 112 HYPERLINK l _Toc428792514 2.4 管理细细则 PAGEREF _Toc428792514 h 133 HYPERLINK l _Toc428792515 2.4.1 体体系文件件生命周周期流程程 PAGEREF _Toc428792515 h 13 HYPERLINK l _

5、Toc428792516 2.4.2 体体系文件件策划 PAGEREF _Toc428792516 h 113 HYPERLINK l _Toc428792517 2.4.3 体体系文件件的评审审 PAGEREF _Toc428792517 h 14 HYPERLINK l _Toc428792518 2.4.4 体体系文件件的作废废 PAGEREF _Toc428792518 h 14 HYPERLINK l _Toc428792519 第三章 信息安安全管理理体系 PAGEREF _Toc428792519 h 115 HYPERLINK l _Toc428792520 3.1 信息安安全

6、管理理体系 PAGEREF _Toc428792520 h 115 HYPERLINK l _Toc428792521 3.1.1 信信息安全全管理体体系建立立 PAGEREF _Toc428792521 h 15 HYPERLINK l _Toc428792522 3.1.2 信信息安全全管理体体系实施施 PAGEREF _Toc428792522 h 16 HYPERLINK l _Toc428792523 3.1.3 信信息安全全管理体体系监察察 PAGEREF _Toc428792523 h 16 HYPERLINK l _Toc428792524 第四章 信息安安全组织织机构制制度

7、PAGEREF _Toc428792524 h 177 HYPERLINK l _Toc428792525 4.1 信息安安全组织织机构 PAGEREF _Toc428792525 h 117 HYPERLINK l _Toc428792526 4.1.1 信信息安全全职能部部门职责责 PAGEREF _Toc428792526 h 17 HYPERLINK l _Toc428792527 4.1.2 信信息安全全领导小小组职责责 PAGEREF _Toc428792527 h 18 HYPERLINK l _Toc428792528 4.1.3 信信息系统统安全小小组职责责及要求求 PAGE

8、REF _Toc428792528 h 18 HYPERLINK l _Toc428792529 4.1.4 信信息安全全小组权权限 PAGEREF _Toc428792529 h 255 HYPERLINK l _Toc428792530 4.1.5 信信息安全全管理人人员 PAGEREF _Toc428792530 h 266 HYPERLINK l _Toc428792531 4.1.6 关关键岗位位协议 PAGEREF _Toc428792531 h 227 HYPERLINK l _Toc428792532 第五章 信息安安全授权权及审批批管理制制度 PAGEREF _Toc4287

9、92532 h 322 HYPERLINK l _Toc428792533 5.1 信息安安全授权权及审批批管理制制度 PAGEREF _Toc428792533 h 322 HYPERLINK l _Toc428792534 第六章 审核与与检查管管理制度度 PAGEREF _Toc428792534 h 33 HYPERLINK l _Toc428792535 6.1 审核与与检查管管理制度度 PAGEREF _Toc428792535 h 33 HYPERLINK l _Toc428792536 6.1.1 定定期安全全检查 PAGEREF _Toc428792536 h 333 HYP

10、ERLINK l _Toc428792537 6.1.2 文文件审批批与发布布管理制制度 PAGEREF _Toc428792537 h 333 HYPERLINK l _Toc428792538 第七章 办公环环境管理理制度 PAGEREF _Toc428792538 h 334 HYPERLINK l _Toc428792539 7.1 办公环环境管理理制度 PAGEREF _Toc428792539 h 334 HYPERLINK l _Toc428792540 第八章 沟通与与合作管管理制度度 PAGEREF _Toc428792540 h 36 HYPERLINK l _Toc428

11、792541 8.1 沟通与与合作管管理制度度 PAGEREF _Toc428792541 h 36 HYPERLINK l _Toc428792542 8.1.1 信信息安全全例会管管理 PAGEREF _Toc428792542 h 366 HYPERLINK l _Toc428792543 8.1.2 外外部协作作管理 PAGEREF _Toc428792543 h 337 HYPERLINK l _Toc428792544 第九章 人员入入岗管理理制度 PAGEREF _Toc428792544 h 338 HYPERLINK l _Toc428792545 9.1 信息安安全条款款

12、PAGEREF _Toc428792545 h 38 HYPERLINK l _Toc428792546 9.2 保密协协议 PAGEREF _Toc428792546 h 388 HYPERLINK l _Toc428792547 9.3 人员录录用和上上岗安全全管理 PAGEREF _Toc428792547 h 339 HYPERLINK l _Toc428792548 第十章 人员在在岗管理理制度 PAGEREF _Toc428792548 h 339 HYPERLINK l _Toc428792549 10.11 人员员在岗信信息安全全管理 PAGEREF _Toc428792549

13、 h 339 HYPERLINK l _Toc428792550 10.11.1 岗位信信息安全全检查 PAGEREF _Toc428792550 h 339 HYPERLINK l _Toc428792551 10.11.2 信息安安全违规规纪律处处理 PAGEREF _Toc428792551 h 399 HYPERLINK l _Toc428792552 10.22 人员员考核 PAGEREF _Toc428792552 h 440 HYPERLINK l _Toc428792553 10.33 关键键岗位考考核制度度 PAGEREF _Toc428792553 h 40 HYPERLI

14、NK l _Toc428792554 第十一章章 信息息安全培培训制度度 PAGEREF _Toc428792554 h 40 HYPERLINK l _Toc428792555 11.11 信息息安全培培训制度度 PAGEREF _Toc428792555 h 40 HYPERLINK l _Toc428792556 第十二章章 人员员离岗管管理制度度 PAGEREF _Toc428792556 h 41 HYPERLINK l _Toc428792557 12.11 人员员离岗离离职安全全管理 PAGEREF _Toc428792557 h 441 HYPERLINK l _Toc4287

15、92558 12.11.1 资产归归还 PAGEREF _Toc428792558 h 411 HYPERLINK l _Toc428792559 12.11.2 访问权权限回收收 PAGEREF _Toc428792559 h 42 HYPERLINK l _Toc428792560 12.11.3 离职后后信息安安全职责责的追踪踪和管理理 PAGEREF _Toc428792560 h 42 HYPERLINK l _Toc428792561 第十三章章 外来来人员管管理制度度 PAGEREF _Toc428792561 h 43 HYPERLINK l _Toc428792562 13.

16、11 第三三方人员员安全管管理 PAGEREF _Toc428792562 h 433 HYPERLINK l _Toc428792563 13.22 外来来人员信信息安全全管理 PAGEREF _Toc428792563 h 444 HYPERLINK l _Toc428792564 第十四章章 工作作人员安安全守则则 PAGEREF _Toc428792564 h 44 HYPERLINK l _Toc428792565 14.11 工作作人员安安全守则则 PAGEREF _Toc428792565 h 44 HYPERLINK l _Toc428792566 第十五章章 信息息系统建建设

17、安全全管理制制度 PAGEREF _Toc428792566 h 466 HYPERLINK l _Toc428792567 15.11 系统统总体规规划设计计 PAGEREF _Toc428792567 h 46 HYPERLINK l _Toc428792568 15.11.1 安全设设计需求求分析及及评估 PAGEREF _Toc428792568 h 448 HYPERLINK l _Toc428792569 15.11.2 总体安安全设计计 PAGEREF _Toc428792569 h 57 HYPERLINK l _Toc428792570 15.11.3 安全建建设规划划 PA

18、GEREF _Toc428792570 h 63 HYPERLINK l _Toc428792571 15.22 系统统工程实实施 PAGEREF _Toc428792571 h 655 HYPERLINK l _Toc428792572 15.22.1 产品采采购管理理制度 PAGEREF _Toc428792572 h 665 HYPERLINK l _Toc428792573 15.22.2 安全服服务商选选择 PAGEREF _Toc428792573 h 666 HYPERLINK l _Toc428792574 15.22.3 硬件采采购和安安装 PAGEREF _Toc42879

19、2574 h 666 HYPERLINK l _Toc428792575 15.22.4 软件采采购和安安装 PAGEREF _Toc428792575 h 677 HYPERLINK l _Toc428792576 15.22.5 系统软软件开发发管理 PAGEREF _Toc428792576 h 667 HYPERLINK l _Toc428792577 15.33 系统统测试验验收 PAGEREF _Toc428792577 h 699 HYPERLINK l _Toc428792578 15.44 系统统交付 PAGEREF _Toc428792578 h 669 HYPERLINK

20、 l _Toc428792579 15.55 系统统备案 PAGEREF _Toc428792579 h 669 HYPERLINK l _Toc428792580 第十六章章 硬件件设备运运维管理理制度 PAGEREF _Toc428792580 h 770 HYPERLINK l _Toc428792581 16.11 硬件件设备运运维管理理制度 PAGEREF _Toc428792581 h 770 HYPERLINK l _Toc428792582 16.11.1 机房安安全管理理制度 PAGEREF _Toc428792582 h 770 HYPERLINK l _Toc428792

21、583 16.11.2 办公环环境安全全管理制制度 PAGEREF _Toc428792583 h 722 HYPERLINK l _Toc428792584 16.11.3 资产安安全管理理制度 PAGEREF _Toc428792584 h 773 HYPERLINK l _Toc428792585 16.11.4 介质安安全管理理制度 PAGEREF _Toc428792585 h 778 HYPERLINK l _Toc428792586 16.11.5 设备管管理制度度 PAGEREF _Toc428792586 h 83 HYPERLINK l _Toc428792587 16.1

22、1.6 网络安安全管理理制度 PAGEREF _Toc428792587 h 885 HYPERLINK l _Toc428792588 第十七章章 系统统软件运运维管理理制度 PAGEREF _Toc428792588 h 888 HYPERLINK l _Toc428792589 17.11 系统统软件运运维管理理制度 PAGEREF _Toc428792589 h 888 HYPERLINK l _Toc428792590 17.11.1 系统安安全管理理制度 PAGEREF _Toc428792590 h 888 HYPERLINK l _Toc428792591 17.11.2 恶意

23、代代码防范范管理制制度 PAGEREF _Toc428792591 h 955 HYPERLINK l _Toc428792592 17.11.3 密码使使用管理理制度 PAGEREF _Toc428792592 h 996 HYPERLINK l _Toc428792593 17.11.4 信息系系统变更更管理制制度 PAGEREF _Toc428792593 h 966 HYPERLINK l _Toc428792594 第十八章章 备份份与恢复复管理制制度 PAGEREF _Toc428792594 h 1000 HYPERLINK l _Toc428792595 18.11 备份份与恢

24、复复管理制制度 PAGEREF _Toc428792595 h 1000 HYPERLINK l _Toc428792596 18.11.1 备份制制度流程程图 PAGEREF _Toc428792596 h 1000 HYPERLINK l _Toc428792597 18.11.2 资产识识别 PAGEREF _Toc428792597 h 1001 HYPERLINK l _Toc428792598 18.11.3 备份方方案 PAGEREF _Toc428792598 h 1002 HYPERLINK l _Toc428792599 18.11.4 备份计计划实施施 PAGEREF _

25、Toc428792599 h 1022 HYPERLINK l _Toc428792600 18.11.5 备份的的介质标标识 PAGEREF _Toc428792600 h 1002 HYPERLINK l _Toc428792601 18.11.6 备份介介质的安安全存放放 PAGEREF _Toc428792601 h 1033 HYPERLINK l _Toc428792602 18.11.7 信息恢恢复 PAGEREF _Toc428792602 h 1003 HYPERLINK l _Toc428792603 第十九章章 信息息系统安安全事件件管理制制度 PAGEREF _Toc4

26、28792603 h 1004 HYPERLINK l _Toc428792604 19.11 信息息系统安安全事件件管理制制度 PAGEREF _Toc428792604 h 1004 HYPERLINK l _Toc428792605 19.11.1 安全事事件定义义 PAGEREF _Toc428792605 h 1044 HYPERLINK l _Toc428792606 19.11.2 安全事事件等级级划分 PAGEREF _Toc428792606 h 1105 HYPERLINK l _Toc428792607 19.11.3 安全事事件处理理流程 PAGEREF _Toc428

27、792607 h 1106 HYPERLINK l _Toc428792608 19.11.4 安全事事件报告告流程 PAGEREF _Toc428792608 h 1120 HYPERLINK l _Toc428792609 第二十章章 硬件件维护日日常操作作管理规规程 PAGEREF _Toc428792609 h 1221 HYPERLINK l _Toc428792610 20.11 硬件件维护日日常操作作管理规规程 PAGEREF _Toc428792610 h 1221 HYPERLINK l _Toc428792611 20.11.1 交换机机 PAGEREF _Toc42879

28、2611 h 1211 HYPERLINK l _Toc428792612 20.11.2 路由器器 PAGEREF _Toc428792612 h 1222 HYPERLINK l _Toc428792613 20.11.3 防火墙墙 PAGEREF _Toc428792613 h 1222 HYPERLINK l _Toc428792614 20.11.4 小型机机 PAGEREF _Toc428792614 h 1222 HYPERLINK l _Toc428792615 20.11.5 PC服服务器 PAGEREF _Toc428792615 h 1123 HYPERLINK l _T

29、oc428792616 20.11.6 审计系系统 PAGEREF _Toc428792616 h 1223 HYPERLINK l _Toc428792617 第二十一一章 信信息系统统操作规规程 PAGEREF _Toc428792617 h 1223 HYPERLINK l _Toc428792618 21.11 信息息系统操操作规程程 PAGEREF _Toc428792618 h 1233 HYPERLINK l _Toc428792619 21.11.1 服务器器设备操操作规程程 PAGEREF _Toc428792619 h 1233 HYPERLINK l _Toc428792

30、620 21.11.2 网络设设备操作作规程 PAGEREF _Toc428792620 h 1124 HYPERLINK l _Toc428792621 第二十二二章 应应急机构构 PAGEREF _Toc428792621 h 1255 HYPERLINK l _Toc428792622 22.11 应急急机构及及角色设设置 PAGEREF _Toc428792622 h 1225 HYPERLINK l _Toc428792623 22.11.1 应急领领导小组组 PAGEREF _Toc428792623 h 1255 HYPERLINK l _Toc428792624 22.11.2

31、 应急协协调小组组 PAGEREF _Toc428792624 h 1266 HYPERLINK l _Toc428792625 22.11.3 应急实实施小组组 PAGEREF _Toc428792625 h 1266 HYPERLINK l _Toc428792626 22.11.4 外部应应急协助助组 PAGEREF _Toc428792626 h 1227 HYPERLINK l _Toc428792627 第二十三三章 应应急预案案 PAGEREF _Toc428792627 h 1288 HYPERLINK l _Toc428792628 23.11 信息息系统应应急预案案 PAG

32、EREF _Toc428792628 h 1288 HYPERLINK l _Toc428792629 23.11.1 应急预预案分类类 PAGEREF _Toc428792629 h 1288 HYPERLINK l _Toc428792630 23.11.2 应急预预案启动动 PAGEREF _Toc428792630 h 1288 HYPERLINK l _Toc428792631 23.11.3 应急处处理流程程 PAGEREF _Toc428792631 h 1311 HYPERLINK l _Toc428792632 23.11.4 系统恢恢复 PAGEREF _Toc428792

33、632 h 1333 HYPERLINK l _Toc428792633 23.11.5 故障总总结及报报告 PAGEREF _Toc428792633 h 1334 HYPERLINK l _Toc428792634 23.11.6 应急演演练 PAGEREF _Toc428792634 h 1334 HYPERLINK l _Toc428792635 23.22 附录录 PAGEREF _Toc428792635 h 1366 HYPERLINK l _Toc428792636 23.22.1 附1：体系系文件建建立申请请表 PAGEREF _Toc428792636 h 1336 HYP

34、ERLINK l _Toc428792637 23.22.2 附2：体系系文件更更改申请请表 PAGEREF _Toc428792637 h 1337 HYPERLINK l _Toc428792638 23.22.3 附3：体系系文件评评审记录录表 PAGEREF _Toc428792638 h 1338 HYPERLINK l _Toc428792639 23.22.4 附4：体系系文件作作废申请请表 PAGEREF _Toc428792639 h 1339 HYPERLINK l _Toc428792640 23.22.5 附5：专家家论证表表 PAGEREF _Toc428792640

35、 h 1400 HYPERLINK l _Toc428792641 23.22.6 附6：专家家意见书书 PAGEREF _Toc428792641 h 1411 HYPERLINK l _Toc428792642 23.22.7 附7：专家家论证会会会议纪纪要 PAGEREF _Toc428792642 h 1442 HYPERLINK l _Toc428792643 23.22.8 附录88 :安安全评估估报告 PAGEREF _Toc428792643 h 1143 HYPERLINK l _Toc428792644 23.22.9 附录99 资产产清单 PAGEREF _Toc4287

36、92644 h 1144 HYPERLINK l _Toc428792645 23.22.100 附录录10 :系统统的操作作手册 PAGEREF _Toc428792645 h 1146 HYPERLINK l _Toc428792646 23.22.111 附录录11：信信息系统统安全检检查表单单 PAGEREF _Toc428792646 h 1466 HYPERLINK l _Toc428792647 23.22.122 附录录12：备备份管理理员操作作变更申申请单 PAGEREF _Toc428792647 h 1147 HYPERLINK l _Toc428792648 23.22

37、.133 附录录13：密密码变更更记录表表（zjj） PAGEREF _Toc428792648 h 1499 HYPERLINK l _Toc428792649 23.22.144 附录录14：审审计记录录 PAGEREF _Toc428792649 h 1533 HYPERLINK l _Toc428792650 23.22.155 附录录15：授权与与审批流流程 PAGEREF _Toc428792650 h 1555 HYPERLINK l _Toc428792651 23.22.166 附录录16：系系统配置置变更审审批单 PAGEREF _Toc428792651 h 1156 H

38、YPERLINK l _Toc428792652 23.22.177 附录录17:安全检检查表 PAGEREF _Toc428792652 h 1158 HYPERLINK l _Toc428792653 23.22.188 附录录18: 安全全检查报报告与通通报 PAGEREF _Toc428792653 h 1660 HYPERLINK l _Toc428792654 23.22.199 附199:外联联单位联联系表 PAGEREF _Toc428792654 h 1161 HYPERLINK l _Toc428792655 23.22.200 附200:会议议记要 PAGEREF _To

39、c428792655 h 1163 HYPERLINK l _Toc428792656 23.22.211 附211:信息息安全专专家聘任任书 PAGEREF _Toc428792656 h 1664 HYPERLINK l _Toc428792657 23.22.222 附录录22 :保密密协议 PAGEREF _Toc428792657 h 1164 HYPERLINK l _Toc428792658 23.22.233 附录录23:上岗人人员情况况登记表表 PAGEREF _Toc428792658 h 1688 HYPERLINK l _Toc428792659 23.22.244 附

40、录录24:人员入入岗审核核表 PAGEREF _Toc428792659 h 1770 HYPERLINK l _Toc428792660 23.22.255 附录录25:岗位协协议书（需打印印） PAGEREF _Toc428792660 h 1771 HYPERLINK l _Toc428792661 23.22.266 附录录26：信信息安全全岗位人人员考核核记录 PAGEREF _Toc428792661 h 1174 HYPERLINK l _Toc428792662 23.22.277 附录录27：安安全技能能考核纪纪录 PAGEREF _Toc428792662 h 1775 H

41、YPERLINK l _Toc428792663 23.22.288 附录录28：关关键岗位位审查情情况表 PAGEREF _Toc428792663 h 1176 HYPERLINK l _Toc428792664 23.22.299 附录录29：信信息安全全培训计计划 PAGEREF _Toc428792664 h 1882 HYPERLINK l _Toc428792665 23.22.300 附录录30：安安全教育育培训签签到表 PAGEREF _Toc428792665 h 1185 HYPERLINK l _Toc428792666 23.22.311 附录录31: 安全全教育培培

42、训评价价表 PAGEREF _Toc428792666 h 1886 HYPERLINK l _Toc428792667 23.22.322 附录录32：年年度信息息安全培培训计划划 PAGEREF _Toc428792667 h 1877 HYPERLINK l _Toc428792668 23.22.333 附录录33：培培训考题题 PAGEREF _Toc428792668 h 1888 HYPERLINK l _Toc428792669 23.22.344 附录录34：培培训考核核记录表表 PAGEREF _Toc428792669 h 1922 HYPERLINK l _Toc428

43、792670 23.22.355 附录录35: 人员员离岗/职审批批表 PAGEREF _Toc428792670 h 1994 HYPERLINK l _Toc428792671 23.22.366 附录录36: 人员员离岗工工作交接接表 PAGEREF _Toc428792671 h 1996 HYPERLINK l _Toc428792672 23.22.377 附录录37:离职保保密承诺诺书 PAGEREF _Toc428792672 h 1998 HYPERLINK l _Toc428792673 23.22.388 附录录38:机房进进出申请请单 PAGEREF _Toc42879

44、2673 h 1999 HYPERLINK l _Toc428792674 23.22.399 附录录39:机房进进出记录录表 PAGEREF _Toc428792674 h 2001 HYPERLINK l _Toc428792675 23.22.400 附录录40：机机房出入入登记表表 PAGEREF _Toc428792675 h 2033 HYPERLINK l _Toc428792676 23.22.411 附录录41：XXXXXX机机房设备备出门单单 PAGEREF _Toc428792676 h 2044 HYPERLINK l _Toc428792677 23.22.422 附

45、录录42：设设备维护护档案 PAGEREF _Toc428792677 h 2205 HYPERLINK l _Toc428792678 23.22.433 附录录43：信信息安全全存储介介质领用用/借用申申请单 PAGEREF _Toc428792678 h 2206 HYPERLINK l _Toc428792679 23.22.444 附录录44：介介质销毁毁审批表表 PAGEREF _Toc428792679 h 2077 HYPERLINK l _Toc428792680 23.22.455 附录录45：信信息安全全存储介介质维修修记录 PAGEREF _Toc428792680 h

46、 2208 HYPERLINK l _Toc428792681 23.22.466 附录录46：设设备领用用表 PAGEREF _Toc428792681 h 2009 HYPERLINK l _Toc428792682 23.22.477 附录录47：计计算机设设备责任任人变更更审批表表 PAGEREF _Toc428792682 h 2100 HYPERLINK l _Toc428792683 23.22.488 附录录48：特特权用户户申请表表 PAGEREF _Toc428792683 h 2100 HYPERLINK l _Toc428792684 23.22.499 附录录49：服

47、服务器补补丁升级级记录 PAGEREF _Toc428792684 h 2211 HYPERLINK l _Toc428792685 23.22.500 附录录50：变变更申请请单 PAGEREF _Toc428792685 h 2112 HYPERLINK l _Toc428792686 23.22.511 附录录51：备备份记录录 PAGEREF _Toc428792686 h 2155 HYPERLINK l _Toc428792687 23.22.522 附录录52：恢恢复记录录 PAGEREF _Toc428792687 h 2155 HYPERLINK l _Toc42879268

48、8 23.22.533 附录录53：备备份与恢恢复演练练记录单单 PAGEREF _Toc428792688 h 2166 HYPERLINK l _Toc428792689 23.22.544 附录录54：安安全事件件记录报报告 PAGEREF _Toc428792689 h 2116 HYPERLINK l _Toc428792690 23.22.555 附录录55：信信息安全全事件调调查报告告 PAGEREF _Toc428792690 h 2177 HYPERLINK l _Toc428792691 23.22.566 附录录56：硬硬件维护护 PAGEREF _Toc42879269

49、1 h 2188 HYPERLINK l _Toc428792692 23.22.577 附录录57：工工作日志志 PAGEREF _Toc428792692 h 2199 HYPERLINK l _Toc428792693 23.22.588 附录录58：信信息系统统巡检 PAGEREF _Toc428792693 h 2220信息安全全管理制制度总则则概述信息系统统安全等等级保护护管理制制度体系系是对实实现信息息系统安安全等级级保护所所采用的的安全管管理措施施的描述述。本制制度体系系从信息息安全管管理机构构制度、信息安安全人力力资源管管理制度度、信息息系统建建设安全全管理制制度、信信息安全

50、全系统运运维管理理制度和和信息系系统操作作规程及及应急预预案等方方面，针针对AAAAAAA公司的的BBBBBB系系统，从从信息安安全管理理和信息息系统运运维两个个方面做做出规定定。总体原则则本制度的的信息安安全总体体原则如如下：全面贯彻彻国家和和上海市市关于信信息安全全工作的的要求文文件和相相关指导导性文件件精神，在部门门内建立立符合国国家要求求完善的的信息安安全管理理体系；建立由安安全策略略、管理理制度、操作规规程等构构成的全全面信息息安全管管理制度度体系，并落实实信息安安全管理理责任到到个人，使信息息安全管管理有章章可循；定期进行行信息安安全培训训，提高高相关人人员信息息安全意意识及能能力

51、；实行预防防为主，应急为为辅的信信息安全全理念，对可能能存在的的信息安安全隐患患进行提提前预防防性排查查和处理理；对于于突发性性信息安安全事件件，可以以按照应应急预案案进行快快速响应应，将事事件影响响降到最最低；定期对信信息系统统进行风风险评估估和控制制，将信信息安全全风险控控制在可可接受的的水平，以降低低突发性性事件出出现的概概率；持续改进进信息安安全管理理所要求求包含的的各项工工作，为为系统提提供可靠靠的安全全信息服服务。总体目标标明确AAAAAAA公司信信息安全全管理机机构和人人力资源源管理制制度；按照等级级保护三三级要求规规范AAAAAAA公司的的BBBBBB系系统建设设和运维维；制定

52、AAAAAAA公司的的BBBBBB系系统应急急预案，并定期期进行应应急演练练；定期开展展全系统统范围的的信息系系统安全全检查和和信息安安全管理理制度宣宣传，并并按需开开展第三三方信息息安全风风险评估估。总体框架架本制度的的安全策策略包括括信息安安全管理理安全策策略和信信息系统统运维安安全策略略，如下下图所示示：系统信息息运维安全全策略系统信息息运维安全全策略包包括信息息安全管管理机构构制度和和信息安安全人力力资源管管理制度度。信息安全全管理机机构制度度建立AAAAAAA公司的的BBBBBB系系统信息息安全管管理组织织机构明确网络络管理员员、主机机管理员员、系统统管理员员、安全全管理员员、安全全

53、审计员员等安全全管理相相关岗位位及职责责。加强信息息安全的的授权和和审批对于系统统变更（包含软软件和硬硬件）实实施审批批，并记记录在案案。定期审查查信息安安全管理理体系监督各项项安全控控制措施施的落实实情况，并针对对有偏差差的地方方进行纠纠正，以以保证信信息安全全管理体体系持续续有效。规范产品品采购和和使用管管理制度度流程明确产品品所有者者、使用用者与维维护者；对所有有产品进进行标记记，实现现信息资资产从采采购、安安装、调调试、使使用、变变更到报报废整个个周期的的安全管管理，并并且密码码相关产产品符合合国家密密码主管管部门的的要求。定期评估估安全风风险根据评估估结果选选择适当当的安全全策略和和

54、控制措措施，保保证安全全风险可可控。信息安全全人力资资源管理理制度加强人员员安全管管理包含人员员录用前前考察、人员在在岗和离离岗的安安全控制制、人员员考核、奖惩措措施等内内容；对对于关键键岗位的的工作人人员，需需签订保保密协议议。保密协议议签署对于外包包的软件件开发，需与服服务提供供商签署署保密协协议；在在信息系系统立项项和审批批过程中中，同步步考虑信信息安全全需求和和目标。系统开开发完成成后，要要求通过过第三方方安全机机构对软软件安全全性的测测评。信息系统统安全管管理安全全策略信息系统统安全管管理安全全策略包包括信息息建设安安全管理理制度、信息安安全系统统运维管管理和信信息系统统操作规规程及

55、应应急预案案。信息建设设安全管管理制度度文档发布布制度化化制定文档档发布规规范制度度，统一一文档版版本、格格式等，并定期期按照制制度对文文档进行行更新，以保证证所有文文档的时时效性。信息安全全系统运运维管理理保障机房房物理与与环境安安全实施多种种手段对对机房安安全进行行监控，包括门门禁、视视频监控控、红外外线报警警等安全全防范措措施，确确保机房房物理安安全。部部署机房房专用空空调、UUPS，灭火设设备等环环境保障障设施；每天对对机房设设施运转转情况进进行定期期巡检、和维护护。控制制机房人人员和设设备的出出入管理理，非管管理人员员无法进进入主机机房，外外部人员员进入机机房需填填写出入入记录并并且

56、由管管理人员员全程陪陪同。维护和操操作规程程文档化化对系统维维护和操操作规程程实施文文档化操操作，降降低和避避免因误误操作所所引发信信息安全全事件的的可能性性。部署防病病毒软件件统一部署署防病毒毒软件，并进行行病毒库库的统一一更新，任何人人不得私私自卸载载防病毒毒软件。定期备份份重要系系统和数数据对重要的的数据和和信息系系统进行行每日增增量备份份每周全全量备份份，并对对备份介介质进行行安全地地保存，以及对对备份数数据每季季度进行行备份还还原测试试，保证证各种备备份信息息的保密密性、完完整性和和可用性性，确保保所有重重要信息息系统和和重要数数据在故故障、灾灾难后及及其它特特定要求求下进行行可靠的

57、的恢复。信息系统统操作规规程及应应急预案案信息安全全事件应应对机制制建立对各各类信息息安全事事件的预预防、预预警、响响应、处处置、恢恢复机制制，编写写针对网网络、数数据库、系统和和恶意代代码等的的应急预预案，并并每年两两次进行行测试和和演练。适用范围围本手册按按照ISSO/IIEC 270001：20005 信息安安全管理理体系要要求，结合AAAAAAA公司司的BBBBBBB系统的的实际编编制而成成，符合合ISOO/IEEC 2270001：20005 标标准的全全部要求求。本管管理制度度适用于于AAAAAA公公司的BBBBBBB系统统建设和和运维过过程。AAAAAA公司司XXXXXX信信息安

58、全管理体系系文件目的为规范AAAAAAA公司司XXXXXX（以下简简称“DDDDDD”）的信信息安全全管理体体系文件件的制订订、修订订及评审审，特制制定本制制度。范围本管理规规范适用用于信息息安全领领导小组组和工作作小组对对信息安安全管理理体系文文件的维维护管理理。职责由信息安安全工作作小组的的主体部部门DDDDDDD负责信信息安全全管理体体系文件件的维护护，包括括制订、修订和和评审，由信息息安全领领导小组组负责体体系文件件的批准准、发布布和作废废。管理细则则体系文件件生命周周期流程程体系文件件流程图图体系文件件策划信息安全全工作小小组组织织相关人人员，根根据信信息安全全技术 信息系系统安全全

59、等级保保护基本本要求（GBTT 2222399-20008）、 信息息安全技技术 信信息系统统安全管管理要求求（GBBT 2202669-220066）、ISSO/IIEC 270001：20005 信信息安全全管理体体系的的要求， 结合合实际的的职责和和工作流流程，策策划制定定信息安安全管理理体系文文件，并并形成AAAAAA公公司XXXXXXX信息安全全管理体体系文件件汇编。 信息安全全工作小小组将制制定的AAAAAA公公司XXXXXXX信息安全全管理体体系文件件汇编汇报给给信息安安全领导导小组，信息安安全领导导小组进进行审批批确认。 体系文件件的评审审信息安全全工作小小组应定定期发起起对体

60、系系文件的的评审, 应填填写体体系文件件建立申申请表(详见见附1)。对体体系文件件的评审审应至少少每年进进行一次次。评审审流程如如下： (1) 信息安安全工作作小组发发起对体体系文件件的评审审申请，信息安安全领导导小组确确认后批批准评审审要求。(2) 信息安安全工作作小组制制定评审审计划。计划中中应确定定各文档档对应的的评审责责任人以以及实施施评审的的时间计计划。(3) 各评审审责任人人根据时时间计划划，结合合内部审审核、管管理评审审、风险险评估及及日常记记录的结结果，评评估现有有文件的的有效性性和充分分性。如如果确定定文档有有必要进进行修改改，应填填写体体系文件件更改申申请表(详见见附2)。